Privacy: Cosa cambia con il nuovo Regolamento Europeo?

Quali sono le novità introdotte dal regolamento europeo GDPR?

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (meglio noto come “regolamento generale sulla protezione dei dati” o “GDPR”). 

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che a vario titolo trattano dati classificabili come “dati personali”, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Difficile quindi che un’Organizzazione possa non rientrare nell’ambito di applicazione del GDPR.

Pianificare gli adeguamenti al GDPR

Il GDPR diventerà definitivamente applicabile (e sanzionabile) in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.  Essendo il GDPR un regolamento europeo non vi è per definizione necessità di alcun recepimento da parte di leggi nazionali né quindi nessuna possibilità di proroga dei termini di applicazione. Molto severe anche le sanzioni previste dal GDPR in caso di violazioni dello stesso, pari fino a 20 milioni di € o al 4% del fatturato totale mondiale annuo.

Il GDPR sostituirà quindi a tutti gli effetti l’attuale Decreto Legislativo del 30 giugno 2003 n. 196 «Codice in materia di protezione dei dati personali» e imporrà alle Organizzazioni destinatarie una serie di adeguamenti che dovranno essere pianificati per tempo con particolare riferimento ai seguenti aspetti:

• Principi per il trattamento lecito dei dati personali, tra cui gestione dell’informativa e del consenso
• Gestione delle richieste e dei diritti degli interessati al trattamento dei dati personali
• Organizzazione, ruoli e responsabilità e nomine per il trattamento dei dati personali: titolare, responsabile e la nuova figura dal “Data Protection Officer” (DPO);
• Formazione e e sensibilizzazione per le figure coinvolte nel trattamento dei dati personali;
• Mappatura dei trattamenti effettuati e relativo registro dei trattamenti;
• Gestione dei rischi per il trattamento e adozione delle misure tecniche organizzative per il trattamento dei rischi, nel rispetto dei principi della “privacy by design” e “privacy by default” e per il perseguimento di obiettivi di sicurezza delle informazioni (disponibilità, integrità e riservatezza) e di resilienza;
• Valutazione preventiva di impatto sulla protezione dei dati trattati rispetto alle libertà e ai diritti degli interessati;
• Gestione degli incidenti in materia di protezione dei dati personali e notifica all’Autorità Garante.

Minerva Group Service dispone di un team multidisciplinare di esperti qualificati nei vari ambiti (giuridico, IT Security, Governance, Risk Management e Compliance) in grado di supportare la vostra Organizzazione nel percorso di allineamento ai requisiti del GDPR erogando servizi di formazione, consulenza, audit e mettendo a disposizione professionisti qualificati per ricoprire il ruolo di DPO. 

Andrea Leonardi

Consultant | Trainer | Auditor

Seguici su LinkedIn e Twitter